L'extension de certificat "Application Policies

Auteur Uwe GradeneggerPublié le Catégories Utilisation du certificat, Autorité de certificationÉtiquettes , , , , ,

Für welche Zwecke ein digitales Zertifikat verwendet werden darf, wird über die Zertifikaterweiterungen „Key Usage“ und „Extended Key Usage“ gesteuert.

In der „Extended Key Usage“ Zertifikaterweiterung werden die des utilisations de clés étendues pour lesquels le certificat peut être utilisé.

Il existe toutefois, pour les certificats émis par une autorité de certification Microsoft, une autre extension de certificat appelée "Application Policies" (en anglais : "Politiques d'application"), qui contient également une liste très similaire à l'extension Extended Key Usages.

Es kann hier zu Verwirrung betreffend der Begrifflichkeiten kommen, da Extended Key Usages manchmal ebenso als „Application Policies“ bezeichnet werden (u.A. von certutil und dem Zertifikat-Shell-Dialog in Windows). Daher muss bei der Diskussion zwischen dem Begriff „Application Policies“, bei denen eigentlich „Enhanced/Extended Key Usages“ gemeint ist, und der „Application Policies“ Zertifikaterweiterung in ausgestellten Zertifikaten unterschieden werden.

Contexte

Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.

L'extension de certificat "Application Policies ist ein Microsoft-proprietäres Relikt aus Windows 2000/2003 Zeiten.

La politique d'application est spécifique à Microsoft et est traitée un peu comme l'utilisation de clés étendues.

Using Application Policies: Public Key | Microsoft Learn

Entsprechend heit auch das dazugehörige COM Interface IX509ExtensionMSApplicationPolicies, beinhaltet also ein Kürzel, welches auf eine proprietäre Erweiterung hindeutet.

Der Begriff „Extended Key Usage“ ist nicht komplett trennscharf. Die einschlägigen RFC sprechen von „Extended Key Usage“, im Microsoft-PKI-Umfeld wird oft der Begriff „Enhanced Key Usage“ verwendet. Beide Begriffe sind allerdings exakt deckungsgleich.

Anwendungen, die sich konform zum maßgeblichen RFC 5280 verhalten, kennen diese Zertifikaterweiterung üblicherweise nicht und verwenden diese entsprechend auch nicht. Ebenso würden sie die Zertifikatverarbeitung abbrechen, wenn diese Erweiterung als kritisch markiert wäre.

Andere Zertifizierungsstellen-Produkte tragen diese Erweiterung nicht in die ausgestellten Zertifikate ein, somit kann nicht davon ausgegangen werden, dass diese von allen gängigen Endanwendungen unterstützt wird.

Die RFC-konforme Zertifikaterweiterung ist die „Extended Key Usage“ Erweiterung.

Da die Zertifikaterweiterung in der Standardeinstellung als nicht kritisch markiert ist, wird sie von Anwendungen, welche sie nicht kennen und entsprechend nicht interpretieren können, ignoriert. Somit hat sie effektiv keinen Effekt, auch wenn sie in einem Zertifikat vorhanden sein sollte.

Windows-Systeme behandeln die Application Policies Zertifikaterweiterung exakt wie die Extended Key Usage Erweiterung.

If a certificate has an extension containing an application policy and also has an EKU extension, the EKU extension is ignored. If, however, a certificate has only an EKU extension, the EKU extension is treated like an application policy extension.

Using Application Policies: Public Key | Microsoft Learn

Die „Application Policies“ Erweiterung als Sicherheitsproblem

Justin Bollinger de TrustedSec a découvert queque, pour les demandes de certificats hors ligne, il est contre Modèles de certificats de la version 1 du schéma est possible (comme pour la Extension Security Identifier), beliebige Application Policies im Zertifikatantrag mitzusenden, welche unverändert in das ausgestellte Zertifikat übernommen werden und anschließend für einen Angriff auf die Active Directory Gesamtstruktur verwendet werden können (ESC15).

Aus diesem Grund ist es sinnvoll, die Erweiterung nicht in ausgestellte Zertifikate einzutragen.

Generell ist es auch sinnvoll, keine Version 1 Zertifikatvorlagen einzusetzen, sondern stets selbst definierte, welche von den mitgelieferten Version 2 und 3 Zertifikatvorlagen abstammen.

Die „Application Policies“ Erweiterung aus ausgestellten Zertifikaten entfernen

Par défaut, le module Windows Default Policy de l'autorité de certification est responsable de l'écriture de cette extension de certificat dans les certificats émis.

L'extension de certificat „Application Policies“ peut être désactivée sur l'autorité de certification à l'aide de la commande de ligne de commande suivante.

certutil -setreg policy\DisableExtensionList +1.3.6.1.4.1.311.21.10

Le service d'autorité de certification doit ensuite être redémarré pour que les modifications prennent effet.

Les certificats émis à partir de ce moment ne contiennent plus que l'extension „Extended Key Usage“, mais pas l'extension „Application Policies“.

Liens complémentaires :

Sources externes :

Les commentaires sont fermés.

fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais